Circula desde o ano passado um cavalo de Troia brasileiro que, além de roubar credenciais bancárias, utiliza o processamento do computador da vítima para minerar, ou “garimpar”, Bitcoins, tornando as máquinas infectadas em mineradoras da moeda virtual.

O Bitcoin é uma “moeda virtual” criada por um programador japonês em 2009. Diferentemente da maioria das moedas com lastro, o Bitcoin não depende de um emissor oficial (como um Banco Central), mas usa um banco de dados distribuído através de conexões ponto-a-ponto (P2P) para registrar as transações.

Calcular os valores que autenticam as transações da rede é complexo, e essas computações são retribuídas com moedas de Bitcoin (BTC) aos participantes. Contribuir com uma grande quantidade de recursos de processamento para obter moedas é uma prática conhecida como “minerar”. Se o criminoso infecta diversas máquinas, podendo controlá-las, ele poderá usar o processamento das mesmas para minerar moedas e assim ter um ganho financeiro significativo, ao vender essas moedas para corretas de Bitcoin, como a Mt. Gox.

Ícone do Flash no vírus.

Ícone do Flash no vírus.

Códigos brasileiros com esse comportamento estão em circulação pelo menos desde outubro do ano passado, de acordo com um relatório de análise dos arquivos publicados no site da fabricante de antivírus Sophos. São pragas típicas, que chegam ao usuário através de e-mails maliciosos informando uma suposta irregularidade no CPF, por exemplo, e que, ao serem executados, fazem o download dos verdadeiros componentes que atuarão na máquina.

Um cavalo de Troia com essa capacidade foi analisado pela equipe do ARIS-LD confirmando o comportamento da praga. Um deles se apresenta com o nome correcao_cpf.exe e um ícone do Adobe Flash Player.

Para enganar a vítima, o arquivo da infecção apresenta telas de instalação do Flash Player, fazendo com que a vítima pense que está realmente instalando alguma coisa em seu sistema. Na verdade, o downloader está baixando e instalando um ladrão de senhas bancárias e o “minerador” de bitcoins:

Praga segue a farsa do Flash com instalador falso.

Praga segue a farsa do Flash com instalador falso.

As sequências de texto dentro do arquivo malicioso demonstram quais arquivos serão baixados:

Endereços dos arquivos baixados pelo vírus.

Endereços dos arquivos baixados pelo vírus.

O arquivo “yessss.pic.cpl” será baixado e posteriormente renomeado para “klsanta.cpl“. O termo “KL” é usado entre os programadores de vírus  brasileiros para definir “keylogger”, software malicioso que possui funções de capturar as teclas digitadas ou realizar captura de telas, geralmente de sites de banco; “santa” se refere ao Banco Santander.

O mais interessante nessa infecção é o arquivo “klx.exe“, que será o responsável por baixar outros arquivos e instalá-los no sistema. No código é clara a função “Download_Minerador”, demonstrando seu objetivo:

Minerador Bitcoin entre os arquivos instalados.

Minerador Bitcoin entre os arquivos instalados.

Nele ainda é possível encontrar facilmente uma lista de URLs e os nomes que os arquivos irão ter ao serem instalados no sistema infectado, que seriam baixados de um site legítimo que havia sido comprometido e usado no esquema malicioso:

Componentes do minerador de Bitcoins

Componentes do minerador de Bitcoins

Observamos entre os vários arquivos baixados o rpcminer-cpu.exe. Trata-se de um minerador de Bitcoins que irá usar o poder de processamento da CPU para gerar os as moedas. Há ainda os arquivos rpc-miner.cuda.exe e cudart32_32_16.dll. Tratam-se de arquivos legítimos, assinados digitalmente pela fabricante de placas de vídeo NVIDIA. A tecnologia CUDA (Compute Unified Device Architecture) permite que aplicações tirem proveito das unidades de processamento existentes em placas de vídeo  para realizar certos cálculos matemáticos com velocidade superior. Em resumo: caso a vítima tenha uma placa de vídeo da NVIDIA instalada, ela será usada para acelerar a mineração de Bitcoins.

Mas e se a vítima possui outra marca de placa de vídeo? Para resolver esse problema, os arquivos rpcminer-opencl.exe e bitcoinmineropencl.cl serão usados para tirar proveito de outra tecnologia de processamento, chamada OpenCL, suportada por diversos fabricantes de placas de vídeo. Dessa forma o cibercriminoso garante que, independente da placa de vídeo presente no computador da vítima, a máquina terá seus recursos de processamento usados exclusivamente para minerar as moedas.

Arquivo .cubin contém os processamentos que serão realizados na mineração das Bitcoins.

Arquivo .cubin contém os processamentos que serão realizados na mineração das Bitcoins.

O comportamento dos cavalos de Troia bancários demonstra que os malfeitores brasileiros estão dispostos a ganhar dinheiro ilícito de várias formas, não somente roubando suas credenciais bancárias, mas também escravizando a máquina das vítimas, tornando-as verdadeiras fábricas de moedas virtuais.

O site envolvido no esquema malicioso já removeu os arquivos do ar, e o arquivo instalador dessa infecção já possui uma boa taxa de detecção dos programas antivírus.

Anúncios

Escrito por Redação Linha Defensiva

5 comentários

  1. Alfredo Ribeiro 12/04/2013 às 15:19

    Para melhorar a qualidade da matéria, faltam informar os MD5 dos arquivos.

    Curtir

    Responder

  2. É a desvantagem da moeda descentralizada, não existe a menor possibilidade de barrar esse tipo de mineração ou impedir o dono da carteira para onde vai esse dinheiro de utilizar o que faturou as custas das máquinas exploradas.

    Curtir

    Responder

    1. Discordo. Esse vírus não só usa a máquina para minerar como também rouba dados bancários do usuário. A desvantagem estar em abrir documentos desconhecidos, se você não tiver dinheiro na conta bancária, eles usam sua maquina para gerar dinheiro pra eles.

      Curtir

      Responder

      1. Amigos, sou novo nessa parada de minerar, muito newbie mesmo.
        Mesmo que não de quase nada minerar pelo processador eu estou trabalhando o dia todo, não seria vantagem mesmo ganhando pouco ganhar alguma coisa?

        Curtir

      2. Depende, muito. O processador é ineficiente na tarefa de mineração, e ainda tem os gastos com energia elétrica. Se os gastos com energia superam os lucros da venda da moeda, então, a priori, seja desvantajoso. Mas existe a possibilidade de haver uma supervalorização da moeda no futuro, então mesmo não sendo rentável hoje, pode ser amanhã. Deve-se levar em conta também que você deve dobrar o poder de processamento a cada ano para continuar minerando a mesma quantidade de bitcoin. Sinceramente? De todas as formas uma GPU seria a melhor opção.

        Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.